Il decreto DORA (D. Lgs. 10 marzo 2025, n. 23) ha introdotto le disposizioni necessarie per garantire la piena applicabilità nell’ordinamento italiano del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA).
A partire dal 17 gennaio 2025, il Regolamento DORA è divenuto direttamente applicabile in tutti gli Stati membri dell’Unione Europea, imponendo standard uniformi in materia di resilienza operativa digitale nel settore finanziario. Tuttavia, per garantire un’effettiva implementazione delle disposizioni europee nel contesto normativo nazionale, si è reso necessario l’intervento del legislatore italiano, che con il decreto DORA ha individuato le autorità competenti, precisato gli obblighi di compliance e disciplinato il regime sanzionatorio.
L’obiettivo di questo articolo è quello di fornire una panoramica del D. Lgs. 23/2025, analizzando gli obblighi posti a carico delle entità finanziarie, le competenze delle autorità di vigilanza e il sistema delle sanzioni previste per il mancato rispetto delle disposizioni. Si esamineranno in particolare gli articoli più rilevanti del decreto, evidenziando come il legislatore italiano abbia provveduto a integrare il quadro normativo europeo con specifiche misure attuative.
Per un’analisi più approfondita sulle implicazioni del Regolamento DORA, invitiamo i lettori a consultare i nostri precedenti articoli relativi all’analisi dei rischi e agli obblighi di resilienza operativa nel settore finanziario. Tali approfondimenti consentiranno di comprendere in modo più chiaro anche le novità introdotte dal Decreto DORA.
Il decreto DORA e l’adeguamento dell’ordinamento italiano
Con il decreto DORA il legislatore ha adeguato le disposizioni nazionali al Regolamento (UE) 2022/2554, armonizzando la disciplina al nuovo quadro sulla resilienza operativa digitale nel settore finanziario. La necessità di un adeguamento normativo deriva dal carattere direttamente applicabile del Regolamento DORA, che, tuttavia, lascia agli Stati membri il compito di definire aspetti operativi rilevanti, tra cui le autorità competenti, il sistema di vigilanza e le sanzioni per le violazioni degli obblighi imposti dalla disciplina europea.
L’articolo 2 del decreto DORA chiarisce che il provvedimento ha lo scopo di assicurare l’effettiva applicazione del Regolamento (UE) 2022/2554, disciplinando l’integrazione con la normativa nazionale preesistente, in particolare con il Testo Unico Bancario (TUB), il Testo Unico della Finanza (TUF) e il Codice delle Assicurazioni Private. Inoltre, il legislatore ha ritenuto necessario stabilire un quadro di coordinamento tra le disposizioni del Regolamento DORA e le norme già vigenti in materia di sicurezza informatica, in particolare quelle introdotte dal D. Lgs. 138/2024, con cui l’Italia ha recepito la Direttiva NIS 2.
Le autorità competenti nel decreto DORA
Il decreto DORA, attraverso l’articolo 3, individua le autorità competenti per l’attuazione e la vigilanza sulle disposizioni del Regolamento (UE) 2022/2554 in ambito nazionale. La scelta del legislatore italiano si è orientata verso un modello di supervisione plurale, affidando le funzioni di controllo a più enti, ciascuno competente in relazione ai soggetti vigilati. In particolare, la Banca d’Italia, la Commissione Nazionale per le Società e la Borsa (Consob), l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) e la Commissione di Vigilanza sui Fondi Pensione (COVIP) sono state designate quali Autorità competenti DORA, in conformità con quanto previsto dall’articolo 46 del Regolamento DORA.
La Banca d’Italia assume un ruolo centrale nella vigilanza sugli obblighi di resilienza operativa digitale, essendo responsabile del controllo sugli intermediari finanziari, su Cassa Depositi e Prestiti S.p.A. e su Bancoposta. La Consob è invece l’ente deputato a monitorare l’attuazione delle norme DORA per quanto riguarda le società di intermediazione mobiliare (SIM), le società di gestione del risparmio (SGR) e gli altri soggetti del mercato finanziario regolamentato. Analogamente, l’IVASS esercita le proprie funzioni di vigilanza sulle imprese assicurative, mentre la COVIP è l’autorità di riferimento per i fondi pensione.
Oltre a queste autorità di settore, il decreto DORA stabilisce un collegamento con l’Agenzia per la Cybersicurezza Nazionale (ACN), che assume il ruolo di Autorità nazionale competente NIS ai sensi dell’articolo 10 del D. Lgs. 138/2024. L’ACN opera in sinergia con il CSIRT Italia, il team nazionale per la gestione degli incidenti di cybersicurezza, che ha il compito di ricevere segnalazioni e coordinare le risposte alle minacce informatiche. Tale sistema di collaborazione tra diverse autorità è stato previsto per garantire un coordinamento efficace tra la normativa sulla resilienza digitale nel settore finanziario e il quadro generale di cybersecurity nazionale.
Il decreto prevede anche la possibilità di definire protocolli d’intesa tra le autorità di vigilanza, al fine di regolamentare lo scambio di informazioni e l’adozione di misure coordinate in materia di resilienza operativa digitale.
Il decreto DORA e gli obblighi di resilienza operativa digitale
L’articolo 6 del decreto DORA disciplina in modo specifico gli obblighi di resilienza operativa digitale posti a carico degli intermediari finanziari, sancendo l’applicabilità di un cospicuo numero di disposizioni del Regolamento DORA. Il primo comma dell’articolo 6 stabilisce che tali disposizioni si applicano “in quanto compatibili”, una clausola di portata incerta, che non consente di delineare con chiarezza l’effettiva applicabilità di ogni singola norma nel contesto nazionale. Questo significa che gli intermediari finanziari saranno onerati di una valutazione caso per caso, al fine di stabilire in che misura ciascuna disposizione del Regolamento DORA trovi applicazione nel loro specifico settore.
Tuttavia, appare plausibile ritenere che il principio di compatibilità debba essere interpretato in senso estensivo, con la conseguenza che la maggioranza delle disposizioni del Regolamento si intenderà applicabile a questi soggetti. Di fatto, il decreto DORA introduce un modello di compliance generalizzata, che impone agli intermediari finanziari l’adozione di misure di sicurezza avanzate per la protezione delle infrastrutture digitali e dei dati sensibili.
Una deroga è prevista dal secondo comma dell’articolo 6, che introduce una clausola di esenzione a favore degli intermediari finanziari qualificati come microimprese. Per questi soggetti non si applica l’articolo 24 del Regolamento DORA, che disciplina i requisiti generali per lo svolgimento dei test di resilienza operativa digitale. In sostituzione degli obblighi più stringenti previsti dal Regolamento, il terzo comma dell’articolo 25 del Regolamento DORA prevede un regime agevolato per lo svolgimento dei test di resilienza digitale da parte delle microimprese.
Tali soggetti potranno combinare un approccio basato sul rischio con una pianificazione strategica delle verifiche relative alle tecnologie dell’informazione e della comunicazione (TIC). L’obiettivo è garantire un equilibrio tra le risorse disponibili e la necessità di verificare periodicamente la tenuta dei sistemi informatici, tenendo conto della criticità dei dati gestiti, dell’urgenza degli interventi e della capacità dell’impresa di gestire i rischi in modo proporzionato.
Infine, il terzo comma dell’articolo 6 conferisce alla Banca d’Italia un potere regolamentare significativo, che le consente di individuare, nelle disposizioni attuative adottate ai sensi dell’articolo 9, una categoria di intermediari finanziari ai quali, in base alla dimensione e all’attività svolta, si applichino le disposizioni ordinarie del Regolamento DORA, anziché il regime semplificato previsto dall’articolo 16, paragrafi 1 e 2. In particolare, tali soggetti potrebbero essere sottoposti agli obblighi previsti dagli articoli 5, 6, 7, 8, 9, 10, 11, 12, 13 e 14 del Regolamento DORA, evitando l’applicazione del quadro semplificato per la gestione dei rischi informatici.
Ciò significa che la Banca d’Italia potrà stabilire che determinati intermediari finanziari, pur di dimensioni contenute, siano comunque soggetti agli obblighi più stringenti in materia di gestione del rischio digitale, in ragione della loro attività e della loro incidenza sul sistema finanziario.
Segnalazione degli incidenti nel decreto DORA
L’articolo 4 del decreto DORA disciplina il sistema di segnalazione degli incidenti informatici nelle tecnologie dell’informazione e della comunicazione (TIC) e la notifica volontaria delle minacce informatiche significative, in attuazione dell’articolo 19 del Regolamento DORA. La disposizione attribuisce agli intermediari finanziari, alle infrastrutture di mercato finanziario e agli altri soggetti obbligati l’onere di segnalare tempestivamente qualsiasi grave incidente TIC alle autorità competenti DORA, secondo precise modalità stabilite dal decreto.
Le autorità competenti per la ricezione delle segnalazioni sono state individuate sulla base della tipologia di soggetto vigilato. In particolare, la Banca d’Italia è competente per ricevere le notifiche provenienti dalle banche, dagli intermediari finanziari, da Cassa Depositi e Prestiti S.p.A. e da Bancoposta. La Consob, invece, riceve le segnalazioni da parte delle SIM, delle SGR e delle altre entità finanziarie vigilate ai sensi dell’articolo 2, paragrafo 1, lettere g) e i), del Regolamento DORA. Per quanto riguarda le imprese assicurative, la competenza spetta all’IVASS, mentre la COVIP è responsabile della ricezione delle notifiche relative ai fondi pensione.
Una disposizione di particolare rilievo è contenuta nel comma 2 dell’articolo 4, secondo cui, nel caso in cui un’entità finanziaria sia soggetta alla vigilanza di più autorità competenti DORA, la prima autorità ricevente è tenuta a trasmettere tempestivamente la notifica iniziale e i successivi aggiornamenti alle altre autorità di vigilanza coinvolte. Questo meccanismo di cooperazione interistituzionale mira a evitare duplicazioni di segnalazioni e a garantire un coordinamento efficace tra le diverse autorità competenti.
Un ulteriore livello di obblighi è previsto per le entità finanziarie appartenenti al settore bancario e delle infrastrutture dei mercati finanziari, qualora queste siano classificate come soggetti critici ai sensi della Direttiva (UE) 2022/2557. Per tali soggetti, l’articolo 4, comma 3, del decreto DORA prevede che la notifica iniziale dei gravi incidenti TIC debba essere trasmessa anche al CSIRT Italia, secondo i modelli e i termini stabiliti dall’articolo 20 del Regolamento DORA.
Il comma 4 dell’articolo 4 del Decreto DORA introduce invece la possibilità per le entità finanziarie di effettuare notifiche volontarie relative a minacce informatiche significative, in aggiunta agli obblighi di segnalazione degli incidenti TIC già previsti. Le notifiche volontarie possono essere trasmesse anche al CSIRT Italia, con la garanzia che le informazioni fornite rimangano coperte dal segreto d’ufficio. L’obiettivo di questa previsione è incoraggiare una maggiore collaborazione tra il settore finanziario e le istituzioni preposte alla cybersicurezza, al fine di sviluppare un sistema di condivisione delle informazioni sulle minacce emergenti.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUB
L’articolo 10 del decreto DORA introduce importanti modifiche al Testo Unico Bancario (TUB), con l’obiettivo di disciplinare il regime sanzionatorio applicabile alle banche, agli intermediari finanziari e ai fornitori terzi di servizi TIC che non rispettano gli obblighi imposti dal Regolamento (UE) 2022/2554. Il legislatore ha integrato le disposizioni del TUB introducendo nuovi commi all’articolo 144, nei quali vengono specificate le sanzioni per le violazioni delle norme sulla resilienza operativa digitale.
Il comma 8-bis stabilisce che l’inosservanza di una serie di disposizioni del Regolamento DORA, tra cui gli articoli 5, 6, 16, 19 e 24, nonché delle relative norme tecniche di regolamentazione e attuazione, comporta l’applicazione di sanzioni amministrative pecuniarie. In particolare, nei confronti delle banche, degli intermediari finanziari e dei fornitori terzi di servizi TIC, la sanzione può variare da un minimo di 30.000 euro fino al 10% del fatturato dell’ente responsabile. Per gli istituti di pagamento e gli istituti di moneta elettronica, la sanzione può arrivare fino a 5 milioni di euro, o, qualora il fatturato dell’ente sia superiore a tale cifra, fino al 10% del fatturato complessivo.
Il successivo comma 8-ter disciplina ulteriori ipotesi sanzionatorie per le violazioni di altre disposizioni del Regolamento DORA, tra cui gli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29 e 30. Anche in questo caso, il decreto prevede un sistema sanzionatorio progressivo, stabilendo che le banche, gli intermediari finanziari e i fornitori di servizi TIC possano essere sanzionati con un importo che varia da 30.000 euro fino al 7% del fatturato annuo. Per gli istituti di pagamento e gli istituti di moneta elettronica, la soglia massima della sanzione pecuniaria viene fissata a 3,5 milioni di euro, salvo che il 7% del fatturato annuo risulti un importo superiore.
Di particolare rilievo è poi la disciplina introdotta dal nuovo comma 2-bis dell’articolo 144-ter del TUB, che introduce un regime sanzionatorio specifico per le persone fisiche responsabili delle violazioni. In caso di inosservanza delle disposizioni di cui ai commi 8-bis e 8-ter, le persone fisiche che ricoprono ruoli di amministrazione, direzione o controllo all’interno delle entità responsabili possono essere sanzionate con una sanzione amministrativa pecuniaria variabile da 5.000 euro fino a 5 milioni di euro, nel caso delle violazioni più gravi. Se la violazione riguarda le disposizioni meno stringenti, la soglia massima si riduce a 3,5 milioni di euro.
L’articolo 144-ter, comma 2-ter, introduce inoltre un regime di responsabilità personale aggravata, stabilendo che la sanzione per le persone fisiche si applica quando la violazione deriva dalla mancata osservanza di doveri propri del soggetto, o quando la condotta abbia inciso in modo significativo sulla struttura organizzativa dell’ente o sulla sua gestione del rischio aziendale. Inoltre, qualora la violazione sia connessa al mancato rispetto di provvedimenti specifici adottati dalla Banca d’Italia, la sanzione può essere ulteriormente inasprita.
Infine, il comma 2-quater dell’articolo 144-ter introduce una previsione particolarmente severa per i casi in cui la violazione abbia comportato un vantaggio economico per l’autore della condotta illecita. Se il profitto ottenuto dalla violazione supera il limite massimo della sanzione prevista, la sanzione potrà essere raddoppiata fino a raggiungere un importo pari al doppio del vantaggio economico indebitamente ottenuto.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUF
L’articolo 10 del decreto DORA introduce un rigoroso regime sanzionatorio per gli intermediari finanziari, mediante l’inserimento del nuovo articolo 190-bis.3 nel Testo Unico della Finanza (TUF). La norma disciplina le sanzioni amministrative applicabili alle Società di Intermediazione Mobiliare (SIM), alle Società di Gestione del Risparmio (SGR), alle Società di Investimento a Capitale Variabile (SICAV), alle Società di Investimento a Capitale Fisso (SICAF), nonché agli altri soggetti operanti nei mercati finanziari, con particolare attenzione ai fornitori terzi di servizi TIC.
Il primo comma dell’articolo 190-bis.3 del TUF stabilisce le sanzioni pecuniarie per l’inosservanza di una serie di obblighi imposti dal Regolamento (UE) 2022/2554, tra cui gli articoli 5, 6, 10, 12, 16, 17, 19 e 24, relativi alla resilienza operativa digitale e alla gestione del rischio informatico.
Per le SIM, le SGR, le SICAV, le SICAF, le controparti centrali e i gestori di mercati regolamentati, la sanzione può variare da 30.000 euro fino a 5 milioni di euro, oppure fino al 10% del fatturato annuo, qualora quest’ultimo risulti superiore a tale soglia. Per i depositari centrali di titoli, la sanzione può raggiungere 20 milioni di euro o il 10% del fatturato, mentre per i fornitori di servizi di crowdfunding, la sanzione pecuniaria è compresa tra 500 e 500.000 euro, con un limite del 5% del fatturato annuo. Analogamente, per gli amministratori di indici di riferimento critici, la sanzione massima è fissata a 1 milione di euro o il 10% del fatturato.
Il secondo comma dell’articolo 190-bis.3 introduce un regime sanzionatorio specifico per le persone fisiche che abbiano violato le disposizioni del Regolamento DORA. In caso di inadempienza da parte di amministratori, dirigenti o responsabili della compliance, la sanzione pecuniaria può variare da 5.000 euro fino a 5 milioni di euro, a seconda della gravità della violazione e del tipo di soggetto coinvolto. Per i fornitori di servizi di crowdfunding, la sanzione pecuniaria per le persone fisiche può arrivare a 500.000 euro, mentre per gli amministratori di indici di riferimento critici, la soglia massima è di 500.000 euro.
Il terzo comma dell’articolo 190-bis.3 disciplina un’ulteriore ipotesi di violazione, che riguarda il mancato rispetto di specifici obblighi previsti dagli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29, 30 e 31 del Regolamento DORA. In questi casi, la sanzione massima per SIM, SGR, SICAV, SICAF e controparti centrali può arrivare a 3,5 milioni di euro, oppure fino al 7% del fatturato annuo. Per i depositari centrali di titoli, la multa può raggiungere 14 milioni di euro, mentre per i fornitori di crowdfunding, la sanzione varia tra 500 e 350.000 euro, con un limite del 3,5% del fatturato.
Si prevedono specifiche sanzioni per le persone fisiche, qualora abbiano avuto un ruolo diretto nella violazione delle disposizioni del Regolamento DORA. In questi casi, l’importo della sanzione pecuniaria può arrivare a 3,5 milioni di euro per i soggetti responsabili di SIM, SGR, SICAV, SICAF e depositari centrali di titoli, e fino a 350.000 euro per i fornitori di servizi di crowdfunding e gli amministratori di indici di riferimento critici.
Il quinto comma dell’articolo 190-bis.3 introduce una clausola di responsabilità aggravata per i dirigenti, amministratori e soggetti che esercitano funzioni di controllo all’interno degli intermediari finanziari. Se la violazione è conseguenza del mancato rispetto di obblighi specifici o ha inciso significativamente sulla gestione del rischio aziendale, il soggetto responsabile potrà essere sanzionato personalmente. Inoltre, se la violazione ha comportato l’inosservanza di provvedimenti adottati da Consob o Banca d’Italia, la sanzione sarà più severa.
Vi è una sanzione rafforzata nel caso in cui la violazione abbia comportato un vantaggio economico superiore al massimo della multa prevista. In questo caso, la sanzione potrà essere raddoppiata fino a un importo pari al doppio del vantaggio economico ottenuto, purché l’ammontare sia determinabile.
Infine, il settimo comma dell’articolo 190-bis.3 prevede sanzioni accessorie per i soggetti responsabili di violazioni gravi. In caso di infrazione particolarmente rilevante, potrà essere applicata l’interdizione dall’esercizio di funzioni di amministrazione, direzione o controllo all’interno di intermediari finanziari, per un periodo compreso tra sei mesi e tre anni.
Conclusioni
Il decreto DORA introduce un impianto normativo tecnico e articolato, caratterizzato da un elevato grado di complessità e da numerosi rinvii al Regolamento (UE) 2022/2554 e alla normativa settoriale preesistente. La sua applicazione presuppone una conoscenza approfondita del diritto bancario e dei mercati finanziari, oltre che una padronanza della disciplina in materia di cybersicurezza. L’integrazione tra questi due ambiti giuridici evidenzia la volontà del legislatore di rafforzare la resilienza operativa digitale attraverso un approccio interdisciplinare, che impone agli operatori finanziari di adottare misure strutturali per la sicurezza delle infrastrutture digitali.
Un ulteriore elemento di rilievo decreto DORA è rappresentato dalla gradualità dell’applicazione del Regolamento, che prevede un’attivazione progressiva degli obblighi normativi e un modello di compliance a più livelli. Questo implica che gli operatori soggetti alla disciplina debbano predisporre un piano di adeguamento dettagliato, rispettando le scadenze normative per evitare di trovarsi impreparati all’entrata in vigore delle disposizioni più stringenti. L’obbligo di segnalazione degli incidenti TIC, l’adozione di test di resilienza operativa e il monitoraggio della supply chain digitale impongono una pianificazione accurata, in modo da integrare le nuove misure di sicurezza all’interno della governance aziendale.
Il nostro Studio è a disposizione per supportare imprese e intermediari finanziari nell’adeguamento alla normativa, offrendo consulenza specialistica in materia di corporate compliance e cybersicurezza. L’approccio integrato e interdisciplinare dello Studio consente di affiancare le aziende nel processo di implementazione delle misure richieste dal decreto DORA, garantendo un supporto strategico nella definizione dei modelli organizzativi e nella gestione delle nuove responsabilità operative.